Icann keurt gebruik dnssec voor .org-domeinen goed

Het .org-domein zal het eerste generieke tld zijn dat gebruik maakt van dnssec, een beveiligingsprotocol voor dns-servers. De organisatie die de .org-domeinen beheert heeft hiervoor toestemming van de Icann gekregen.

Icann logoHet dnssec-protocol moet veiliger zijn dan de nu gebruikte dns-protocollen: zo moet dnssec ongevoelig zijn voor de onlangs opgedoken kwetsbaarheden die cache poisoning mogelijk maken. Om de voordelen van dsnsec te kunnen gebruiken, vroeg de PIR, de organisatie die voor het beheer van .org-domeinen verantwoordelijk is, toestemming aan de Icann om over te stappen. De Icann stemde hier onder voorwaarden mee in. Daarmee zal .org het eerste gtld worden dat dnssec gebruikt. Verschillende landendomeinen zijn al op het protocol overgestapt.

PIR logoDe PIR zou een pionierende functie voor andere generieke tld's moeten krijgen en de controlerende instanties van die domeinen moeten helpen om dnssec te implementeren. Het veiligere protocol voor de vertaling van domeinnamen maakt onder meer gebruik van versleuteling van gegevens om cache poisoning en andere aanvallen te voorkomen. De ontwikkeling van het protocol werd in 1997 gestart, maar kende een aantal problemen, zoals het opschalen naar systemen die groot genoeg zijn voor het beheer van tld's. Een vraag die nog niet is beantwoord, is wie de encryptiesleutels beheert waarmee het dns-verkeer beveiligd moet worden. Dat zou logischerwijs de Icann zijn, waardoor discussies over de Amerikaanse zeggenschap over de rootservers weer op zouden laaien.

Door Willem de Moor

Redacteur

Feedback • 23-07-2008 19:0016

23-07-2008 • 19:00

16 Linkedin Whatsapp

Lees meer

Icann: dnssec-implementatie passeert grens van 50 procent
Icann: dnssec-implementatie passeert grens van 50 procent Nieuws van 24 januari 2014
Icann-regels vereisen e-mail- en mobiele verificatie bij domeinaanvraag
Icann-regels vereisen e-mail- en mobiele verificatie bij domeinaanvraag Nieuws van 30 juni 2013
Google wil open redirectdienst maken van http://search
Google wil open redirectdienst maken van http://search Nieuws van 11 april 2013
Boekindustrie bekritiseert plannen Amazon voor controle generieke tld's
Boekindustrie bekritiseert plannen Amazon voor controle generieke tld's Nieuws van 11 maart 2013
Icann publiceert lijst met 250 bezwaren tegen nieuwe gtld's
Icann publiceert lijst met 250 bezwaren tegen nieuwe gtld's Nieuws van 21 november 2012
Aantal met dnssec ondertekende .nl-domeinen groeit tot boven 600.000
Aantal met dnssec ondertekende .nl-domeinen groeit tot boven 600.000 Nieuws van 18 augustus 2012
Uitrol van dnssec op root zone afgerond
Uitrol van dnssec op root zone afgerond Nieuws van 17 juli 2010
Dot.com-tld viert 25e verjaardag
Dot.com-tld viert 25e verjaardag Nieuws van 15 maart 2010
'Icann moet nieuw besluit over invoering .xxx-domein nemen'
'Icann moet nieuw besluit over invoering .xxx-domein nemen' Nieuws van 24 februari 2010
SIDN wil dnssec voor .nl-zone in augustus 2010 invoeren
SIDN wil dnssec voor .nl-zone in augustus 2010 invoeren Nieuws van 8 december 2009
VeriSign gaat dnssec-protocol invoeren op tld's
VeriSign gaat dnssec-protocol invoeren op tld's Nieuws van 17 november 2009
Icann keurt voorstel voor domeinnamen met niet-Latijnse karakters goed
Icann keurt voorstel voor domeinnamen met niet-Latijnse karakters goed Nieuws van 30 oktober 2009
Joegoslavisch top level-domein gaat op zwart
Joegoslavisch top level-domein gaat op zwart Nieuws van 30 september 2009
Milieuorganisaties strijden om .eco-top level domain
Milieuorganisaties strijden om .eco-top level domain Nieuws van 9 augustus 2009
ICANN wil verdere discussie over nieuwe tld's
ICANN wil verdere discussie over nieuwe tld's Nieuws van 19 februari 2009
Rapport SURFnet wijst op noodzaak invoering dnssec
Rapport SURFnet wijst op noodzaak invoering dnssec Nieuws van 12 februari 2009
Icann zoekt oplossing voor misbruik nameservers
Icann zoekt oplossing voor misbruik nameservers Nieuws van 28 januari 2009
Vlaanderen start aanvraagprocedure voor eigen topleveldomein
Vlaanderen start aanvraagprocedure voor eigen topleveldomein Nieuws van 22 oktober 2008
Telnic maakt .tel-tld nog dit jaar beschikbaar
Telnic maakt .tel-tld nog dit jaar beschikbaar Nieuws van 12 september 2008
Domeinregistratie .me-tld open voor grote publiek
Domeinregistratie .me-tld open voor grote publiek Nieuws van 17 juli 2008
Hackers wijzigden dns-records van toezichthouder Icann
Hackers wijzigden dns-records van toezichthouder Icann Nieuws van 5 juli 2008
Icann keurt open uitbreiding tld's goed
Icann keurt open uitbreiding tld's goed Nieuws van 27 juni 2008
Steden en regio's lobbyen bij Icann voor eigen tld
Steden en regio's lobbyen bij Icann voor eigen tld Nieuws van 23 juni 2008
Icann vindt geen bewijs voor 'front running'
Icann vindt geen bewijs voor 'front running' Nieuws van 21 februari 2008
Icann steekt stokje voor 'domain tasting'
Icann steekt stokje voor 'domain tasting' Nieuws van 30 januari 2008
Icann dient verzoek tot verzelfstandiging in
Icann dient verzoek tot verzelfstandiging in Nieuws van 25 januari 2008
Internetbeheer VS weer ter discussie gesteld
Internetbeheer VS weer ter discussie gesteld Nieuws van 12 november 2007
Icann wijst anonimiseren whois-database voorlopig af
Icann wijst anonimiseren whois-database voorlopig af Nieuws van 1 november 2007
Vint Cerf trekt de deur bij Icann achter zich dicht
Vint Cerf trekt de deur bij Icann achter zich dicht Nieuws van 29 oktober 2007
VS wil controle over beveiligde dns-variant
VS wil controle over beveiligde dns-variant Nieuws van 4 april 2007
Icann mikt op onschendbaarheid in VS
Icann mikt op onschendbaarheid in VS Nieuws van 3 april 2007
Icann verklaart falen ddos-aanval rootservers
Icann verklaart falen ddos-aanval rootservers Nieuws van 12 maart 2007
Icann ziet vooruitgang in ontwikkeling nieuw dns-systeem
Icann ziet vooruitgang in ontwikkeling nieuw dns-systeem Nieuws van 9 december 2006
Meer producten en artikelen
Bedrijfsnieuws Netwerk Internet Beveiliging Domeinnaam

IT-banen

Meer vacatures

Reacties (16)

-Moderatie-faq
16
12
2
1
0
0
Wijzig sortering
Little Penguin
23 juli 2008 19:42
Dit is een stap in de goede richting, zodra het beheer van de encryptiesleutels goed geregeld is, maar heb ik ook wat aan?

Zolang de door mij gebruikte DNS server (bijvoorbeeld die van mijn ISP) nog geen DNSSec gebruikt kan ik dus nog steeds last hebben van cache poisoning. Het is dus ook zaak dat de diverse servers (van ISP's en bedrijven) gebruik gaan maken van DNSSec en dat zal pas gebeuren als 't oude protocol ook daadwerkelijk onbruikbaar geworden is.
the_stickie
@Little Penguin23 juli 2008 20:29
het is waar wat je zegt; een aanval op een lokale dns server zou jou, en ander klanten nog altijd kunnen benadelen. Maar als een dns server van een tld beheerder succesvol aangevallen wordt, bedreigt dat potentieel miljoenen internetgebruikers.

Ik zeg dan ook: eindelijk!
Little Penguin
@the_stickie23 juli 2008 20:39
Maar als een dns server van een tld beheerder succesvol aangevallen wordt, bedreigt dat potentieel miljoenen internetgebruikers.
Het gaat om cache poisoning, de ROOT-servers en TLD-beheerders serveren toch alleen authoritative zones?

* Little Penguin weet toch echt zeker dat niet iedereen kan cachen :)
arjankoole
@Little Penguin23 juli 2008 21:53
Het gaat om cache poisoning, de ROOT-servers en TLD-beheerders serveren toch alleen authoritative zones?
Klopt helemaal, maar door DNSSEC toe te passen op de caching nameservers van ISP's kan het zo zijn dat het helemaal onmogelijk is om 'zooi' te injecteren. Althans, dat is het principe, ik ken maar weinig mensen die echt gelukkig worden van DNSSEC. (in ISP land)

Maar, je hebt gelijk, de ROOT nameservers (de TLD servers zijn dat ook) houden alleen bij waar je moet zijn, met glue records.

een request voor pietje.nl gaat dus naar DNS ROOT ( . ) -> DNS SIDN -> DNS van pietje.nl (bijvoorbeeld ns.isp.nl)
the_stickie
@Little Penguin24 juli 2008 08:20
je hoeft niet meteen uit te gaan van een attack zoals recentelijk bekend geworden is. Eeen aanval is heel breed te interpreteren.
Het "gewone" DNS protocol is unencrypted en onveilig. Dat maakt allerhande leukigheidjes mogelijk. Natuurlijk is het waar dta er al heel wat gesleuted is aan het protocol om serieuze flaws eruit te halen, maar het blijft een onvilig design dat opgelapt wordt.
Door simpelweg over te stappen naar een voor veilighied ontwikkeld protocol ontwijk je in één klap een hoop (mogelijke) problemen.
Pruts0r
@Little Penguin24 juli 2008 08:59
Zolang de DNS server van je ISP nog niet gepatchted is wordt geadviseerd gebruik te maken van de gratis diensten van openDNS, hiermee ben je veilig voor DNS cache poisoning.
E_E_F
@Pruts0r24 juli 2008 12:48
Die server van openDNS is behoorlijk snel, bedankt voor de tip.
Kabouterplop01
23 juli 2008 19:21
Ik bied me vrijwillig aan om voor alle ISP's de zone's van keys te voorzien :P
GoBieN-Be
@Anoniem: 26248023 juli 2008 19:11
Dit is totaal buiten de kwestie.
Brein gaat echt geen DNS server hacken om TPB neer te halen ...
Anoniem: 149075
@GoBieN-Be23 juli 2008 19:14
Ik dacht ze zoiets eerder ook geprobeerd hadden... of een ddos ofzo ?
vmsw
@Anoniem: 14907523 juli 2008 19:26
Nee, dit bedoelen ze.. DNS cache poisoning; gewoon het misbruiken van de open DNS om onzin te laten voorschotelen aan de gebruikers. Bijvoorbeeld zoals hier gedemonstreerd is, gisteren.

Ze zorgen ervoor dat een 'echte' DNS gebruik maakt van hun eigen nep-DNS, en op die manier proberen ze er onzin in te zetten.

EDIT:
En dan gebruiken ze nu dus dit om het te voorkomen; en weer een stapje verder te zijn :)

[Reactie gewijzigd door vmsw op 23 juli 2008 19:31]

Mac_Cain13
@Anoniem: 14907523 juli 2008 21:22
Dat was in ieder geval niet stichting Brein, maar waarschijnlijk bedoel je de DDOS op de Revision3 servers. Deze is door Mediadefender uitgevoerd en heeft verder niets met DNS servers te maken ofzo. Dus dat is verder redelijk off-topic. ;)

Hier gaat het over wat vmsw boven mij goed omschrijft.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee